Nejprve čísla:
- 1855 podnětů a stížností
- 54 kontrol
- 57 udělených pokut v celkové výši 7 338 000 Kč
- průměrná výše jedné pokuty okolo 130 000 Kč
V kontextu EU je český úřad v udělování pokut velmi mírný – historicky nejvyšší pokutu 600 milionů Kč udělil britský úřad pro ochranu osobních údajů společnosti British Airways za únik osobních údajů více než 400 000 zákazníků. V Norsku pak loni padla pokuta v přepočtu 250 milionů Kč – společnost provozující sociální síť Grindr shromažďovala a sdílela některé osobní údaje bez řádného souhlasu uživatelů.
Co Úřad pro ochranu osobních údajů kontroloval?
Newslettery
Co úřad řešil?
Nejčastěji ÚOOÚ pokutoval využívání dat z obchodních rejstříků pro vlastní podnikatelské účely – tedy například zasílání nevyžádaných obchodních nabídek na veřejně dostupné kontakty bez jejich souhlasu. Za newslettery také loni padla historicky nejvyšší pokuta v ČR – 6 mil. Kč musí za opakované zasílání nevyžádaných obchodních sdělení zaplatit prodejce ojetých aut. Dobrá zpráva je, že se úřad také zaměřil na společnosti, které vyvolávají dojem oficiálních rejstříků a zasílají podnikatelským nováčkům složenky na další zbytečné poplatky.
Co si z toho odnést?
Nespamujte, nespamujte, nespamujte. Svým zákazníkům newslettery posílat můžete, všem ostatním jenom po předchozím souhlasu. I když mají kontakt veřejně na webu nebo v jakékoliv databázi. V každém případě jim dejte možnost se z odběru newsletteru snadno odhlásit.
TIP: Rozesílá za vás newslettery agentura? Přečtěte si, kdo je za co odpovědný.
Telemarketing
Co úřad řešil?
Nedostačující souhlasy se zpracováním osobních údajů při telemarketingu nebo chybějící zpracovatelskou smlouvu s externí agenturou.
Co si z toho odnést?
Pokud jste v rámci svých marketingových aktivit příznivci telemarketingu, nezapomeňte, že i k tomu potřebujete mít souhlas a ten někde archivovat. Pokud jste si na telemarketing najali externí agenturu, nezapomeňte s ní uzavřít smlouvu o zpracování osobních údajů. To ostatně platí pro všechny vaše dodavatele, kteří zpracovávají data vašich zákazníků.
Kamerové záznamy
Co úřad řešil?
ÚOOÚ kontroloval kamerové záznamy veřejných prostranství. Kamery u památníku vlasovcům v pražských Řeporyjích musely být odstraněny, protože jejich záběry byly streamovány online na internetu, některé pak přebírala také média. Naopak bezpečnostní kamery na fotbalovém stadionu posoudil ÚOOÚ jako legální, protože šlo především o zajištění bezpečnosti a nedocházelo ke streamování online a správce měl dokumentaci v pořádku.
Co si z toho odnést?
Nestreamujte kamerové záznamy z veřejných prostranství na webu, pokud k tomu nemáte pádný důvod. Záznamová zařízení spadají pod přísný bezpečnostní režim ochrany osobních údajů, se kterým se pojí široké povinnosti.
Cookies
Co úřad řešil?
Jak úřad avizoval, část své pozornosti zaměřil na zpracování cookies. Alfa a omega je mít na webu dobře zpracované informace o tom, jak s jednotlivými cookies pracujete, tedy tzv. zásady zpracování osobních údajů nebo privacy policy. Dobrá zpráva je, že úřadu nevadila absence cookie lišty, pokud web nastavení souhlasů s marketingovými cookies četl z nastavení prohlížeče. V této souvislosti se také snad už opravdu blíží schválení evropského nařízení ePrivacy, jehož návrhem se letos bude zabývat Evropský parlament. Nařízení by mělo už jednoznačně říct, že souhlas uživatelé mohou udělit plošným nastavením prohlížeče a nebude nutné ho udělovat každé stránce zvlášť.
Co si z toho odnést?
Snad už brzy se dočkáme toho, že z webových stránek zmizí otravné lišty a bannery.
Dynamický biometrický podpis
Co Úřad řešil?
Společnost používala pro zjednodušení procesu uzavření smlouvy s klientem tzv. dynamický biometrický podpis. Takový podpis s sebou nese celou řadu výhod, jako jsou zrychlení procesu uzavření, úspora nákladů a především vysoká bezpečnost, protože obsahuje i unikátní data o vlastnosti podpisu, jako je tlak a rychlost. Úřad ovšem rozhodl, že pro uzavření smlouvy s klientem není dynamický biometrický podpis nezbytný. Pro tyto účely je tak stále vhodnější tradiční obraz podpisu klienta, který je srovnatelný s klasickým podpisem na listinu.
Co si z toho odnést?
I když se nám to v eLegal nezamlouvá, protože při zkoumání pravosti podpisu vyhotoveném na papírovém dokumentu znalec zkoumá právě ty „biometrické“ prvky, jako je tlak a rychlost, s tímto názorem ÚOOÚ nic neuděláme a používání biometrického podpisu nedoporučujeme. Dobrou zprávou aspoň je, že úřad tedy uznává i prostý elektronický podpis jako platný, což může urychlit digitalizaci.
TIP: Chcete si udělat v elektronických podpisech smluv jednou provždy jasno? Přihlaste se na webinář Digitalizujte firmu (s)právně.
S čímkoliv ohledně GDPR a ochrany dat vám samozřejmě rádi budeme k ruce. Stačí říct.